左丘 2009/01/13
VoIP PBX 系统为各种规模的企业带来了低成本与灵活性。但如同任何基于IP的系统一样,VoIP PBX也蕴含着不容忽视的风险,比如DoS攻击、隐私泄露和服务盗用。所幸的是,保护IP PBX的安全并不一定需要大队的安全专家参与。你可以将其它基于IP系统的防护原理运用到VoIP PBX上。仔细检验你的网络基础架构与电话系统架构,比如部署了多少部VoIP电话?网络规模有多大?这些统计都将能帮你做出下一步的判断。
隔离虚拟局域网(VLAN)上的组件是一种保护企业网络安全的常见方式。许多VoIP电话都有内建交换机来建立802.1p/Q中继到本地交换机中。802.1p/Q能让VLAN去分享物理网络而不会造成信息泄露,而中继则能从数据流中分割出语音流。
隔离VoIP流量虽然能提高安全系数,但却无法100%阻止入侵。你可以从VLAN中限制访问IP PBX的UDP和TCP端口,在交换机或路由器上使用访问控制名单,也可以安装防火墙来规避TCP和UDP端口的攻击,甚至限制访问网络的以太网地址。
为电话系统定义独立的VLAN也能更好地控制带宽分配,换言之,通过提高服务质量(QoS)来保护IP PBX远离DoS蠕虫攻击。VoIP并不要求太多的带宽,但却对数据丢包和延时非常敏感,因此提高QoS能够非常有效地保持攻击情况下的持续通话。
对自动分配协议也需小心,比如LLDP-MED标准或Cisco的CDP标准。这些协议虽然能简化VoIP和VLAN配置上的管理负担,但却不难被突破。
此外,采用防火墙规则能够阻挡对你的IP PBX服务器、网关、电话上的互联网访问,同时你也可以考虑使用会话边界控制器来分析流量模态,保护网络不受基于SIP的DoS攻击干扰。另外在外拨电话的信号发送协议上进行加密,也能有效防止电话监听。
IT专家网
